• STS授权用户访问OSS


    STS授权用户访问OSS
      话说我们这周终于要购买生产环境设备啦(嗨皮,终于到我大展拳脚的时候),但需要周三后。其中,OSS是需要用到的资源之一,需要STS授权访问,今天没事做,就提早配了。
      参考文档【https://help.aliyun.com/document_detail/100624.html】
      简单来说,这玩意是给前端用的(至少在我公司是这样的),利用这个临时访问凭证,上传文件,其中OSS创建的bucket读写权限为:公共读。
      把握一个宗旨,看阿里的帮助文档就会豁然开朗。
      里面涉及RAM子账号权限配置,遵循基本的RBAC权限逻辑,所以理解RBAC后,RAM的权限配置就没有那么复杂了。基本思路:
        权限策略 ——》 角色 ——》 用户 ——》 跨域配置
    权限给到某个角色(关联),角色赋予某个用户,巴拉巴拉。。。
    1、准备环境,建一个公共读的Bucket,假设名称:xxx2022
    2、创建自定义策略
    权限策略决定了能进行什么操作
    【权限管理】 ——》 【权限策略】——》【创建权限策略】,切换到“脚本编辑”
    其中权限策略名称随意
    这个配置的意思,是允许对某个oss的bucket进行所有操作,其中“xxx2022”是bucket的名称

    2、关联权限和角色
    有了权限,则需要一个角色将权限和用户关联起来,可以使用已有角色,也可以新建角色。然后给角色添加权限
    (1)创建角色 (xxxrole)
    a)选择类型:阿里云账号
    b)配置角色:角色名称随意
    c)选择信任的云账号:当前云账号
    注意:创建完角色后,需要记录ARM,
    供接口授权使用,以便前端可以调用授权上传文件。
     
    (2)为角色(xxxrole)授权
    把刚刚创建的自定义策略,授权给这个角色
     

    3、给用户授权

      实际上oss后台上传和sts前端授权上传是两个不一样的配置。这里结合起来了。如果只是后台上传,则直接给用户添加 系统的 AliyunOSSFullAccess 权限即可,
      如果需要sts则按这个步骤,配置sts权限

    (1)创建用户

     注意:记下 AccessKey ID 和 AccessKey Secret

    (2)给用户授权

    a)配置sts权限

     【用户】  ——》 【权限管理】 ——》 【添加权限】 ——》 xxx2022-auth(步骤1创建的自定义策略)

     

     b)为用户授予请求AssumeRole的权限

    配置 AliyunSTSAssumeRoleAccess系统策略。

    4、配置OSS跨域访问
    由于前端上传,获取sts的可能是不同域名,需要在oss配置跨域访问。
    切换到oss管理控制台
     【权限管理】 ——》 【跨域设置】

     

     

     

    (1)来源 :*
    (2)允许 Methods:GETPOSTPUTDELETEHEAD
    (3)允许Headers:*
    (4)暴露headers:
    etag
    x-oss-request-id
  • 相关阅读:
    JavaScript得到当前窗口的所有大小值
    JavaScript 变量、作用域和内存问题
    jQuery html5Validate基于HTML5表单验证插件
    新世界
    2001年的火花
    High Dynamic Range Compression on Programmable Graphics Hardware
    运筹帷幄
    你还要在学校找什么东西?
    图行天下
    Supra Team
  • 原文地址:https://www.cnblogs.com/windysai/p/16519071.html
Copyright © 2020-2023  润新知